Karin Lönnheden [00:00:03]: Det är många innovatörer som säger till oss att det egentligen kanske inte är för oss i dataskyddsfallet att det är regelverket som är det stora problemet, utan det stora problemet är osäkerheten kring hur vi ska tillämpa det.
Jakob Hellman [00:00:16]: Hela fältet började inom finanssektorn, Fintech, där man såg att det kom en flod av startups, inte minst i Sverige och Stockholm, som gick så extremt snabbt med den utvecklingstakten de hade på nya finansiella tjänster och innovationer.
Daniel Holmberg [00:00:43]: Hej och välkommen till På spaning innovation, en podcast från Sveriges innovationsmyndighet Vinnova. Flera av världens mest innovativa länder satsar på en offentlig förvaltning som stimulerar försök och experiment. Snabb teknikutveckling och komplexa samhällsutmaningar ökar trycket på en offentlig verksamhet som stimulerar nya lösningar. Hur går det att utveckla regler och andra styrmedel så att de främjar istället för att hindra innovation? Om det ska vi prata med dagens panel. Jag heter Daniel Holmberg. Med oss här i studion har vi Karin Lönnheden vid Integritetsskyddsmyndigheten. Du är vikarierande generaldirektör.
Karin Lönnheden [00:01:23]: Stämmer bra. Kul att vara här.
Daniel Holmberg [00:01:26]: Välkommen ska jag säga. Och Jakob Hellman som arbetat länge med den här typen av frågor på Vinnova. Välkommen du också.
Jakob Hellman [00:01:32]: Tack så mycket.
Daniel Holmberg [00:01:33]: Och du är nu på väg till en ny roll. Vill du berätta kort?
Jakob Hellman [00:01:37]: Ja men precis. Jag är enhetschef på Vinnova just nu, men inom kort kommer jag gå vidare till en tjänst som innovationschef på Rädda Barnen.
Daniel Holmberg [00:01:46]: Tack! Ja, jag ska säga också om ni inte kände igen namnet på vår podcast så har vi ändrat det lite till På spaning innovation istället för Innovation som de bara hette tidigare, men vi kommer precis som tidigare att ta upp ämnen som rör innovation kopplad till samhällsutveckling och hållbarhet. Med det tänkte jag att vi ska ge oss i kast med dagens ämne. Det förekommer många begrepp när man pratar om de här frågorna, som regulatoriska sandlådor, policylab och smart policyutveckling. Om vi ska förklara enkelt, vad handlar det här om egentligen? Vill du börja Jakob?
Jakob Hellman [00:02:21]: Jag kan göra ett försök och jag får nog säga att det är något som vi själva är skyldiga till, att uppfinna mycket nya begrepp inom innovationsvärlden. Det kommer mycket nytt, nya metoder och begrepp och så där. Det får man vara lite försiktig med, men egentligen så skulle jag säga att det är i grunden två saker som kännetecknar nya arbetssätt i offentlig förvaltning. Det ena som också går emot lite hur vi är vana att jobba, det handlar om att vi ska jobba med försök och våga kasta sig ut i mer okänd terräng. Inte vara helt säkra från början. Det andra är att skapa nya former för dialog med de som vi jobbar med, till exempel företag eller enskilda personer. Så de två delarna tycker jag är de viktiga aspekterna. Sen finns det ju varianter av det här som du nämnde.
Daniel Holmberg [00:03:25]: Du kanske vill berätta lite om hur ni arbetar med de här frågorna på Integritetsskyddsmyndigheten och kanske också vad myndigheten gör i huvud taget, för det kanske inte alla vet.
Karin Lönnheden [00:03:36]: Nej, men jag kan börja där. Vi är ju kanske mest kända utifrån vår tidigare namn. Vi hette ju Datainspektionen fram tills för ett par år sedan. Vårt uppdrag handlar ju om att vi är tillsynsmyndighet, men vi ger också vägledning när det handlar om dataskydd och integritetsskydd. Alltså, skyddet för personuppgifter helt enkelt. I en digital kontext som vi lever i så är ju det där ett uppdrag som hela tiden ändras. Skyddet för personuppgifter har ju blivit mycket mer komplext i dagens teknikmiljö än vad det var för kanske 10-20 år sedan. Vi är som sagt tillsynsmyndighet och vi fyller 50 år i år så att myndigheten har funnits ganska länge, och vi har också jobbat med vägledning på olika sätt länge. Vi svarar på frågor i telefon och vi svarar på skriftliga förfrågningar som kommer in till oss. Det här är löpande verksamhet, standardverksamhet, hos oss. Det som är nytt egentligen, som vi började med för ett par år sedan, det är att vi gick in i en särskild satsning som handlade om att ge stöd och vägledning till innovatörer. Och då började vi med att göra en behovsinventering. Vi hade workshops, vi gjorde intervjuer, vi hade rundabordssamtal, för att fördjupa vår kunskap om vad det är för typ av vägledning man behöver. Vi hade ju fått väldigt tydliga signaler om att det är många dataskyddsfrågor som upplevs som svåra och komplexa, och som är svåra och komplexa, just i innovationssammanhang. Det regelverket som det oftast handlar om är ju GDPR och det är ett förhållandevis ungt regelverk där det inte finns praxis på alla områden. Ett resultat av den här behovsinventeringen som var väldigt tydligt var att väldigt många innovatörer önskade sig en möjlighet till fördjupad dialog med oss som tillsynsmyndighet. Den signalen blev egentligen startskottet till att vi startade upp den här verksamheten som vi kallar för regulatorisk testverksamhet, bara för att spela in ytterligare ett begrepp i den redan ganska röriga begreppsfloran.
Daniel Holmberg [00:05:50]: Har du några konkreta exempel på vad det här har mynnat ut i?
Karin Lönnheden [00:05:55]: Absolut. Vi har kört en pilot som vi har avslutat och nu är vi inne i vår andra pilot. Den första piloten handlade om ett AI-projekt där Region Halland och Sahlgrenska sjukhuset ville utveckla en gemensam AI-lösning för att bättre kunna prediktera återinskrivningen av hjärtpatienter. Det handlar helt enkelt om att man ville kunna använda data både från Halland och från Sahlgrenska för att bli bättre på att förutse vilka hjärtsviktspatienter som riskerar att bli återinskrivna. Det där väcker en hel del ganska komplicerade, både tekniska och juridiska, frågor, så i den här piloten så jobbade vi dialogbaserat tillsammans med dem i en serie workshops där vi först identifierade vad är det för rättsliga frågor man behöver ta ställning till. Sedan så gav vi någon vägledning utifrån vilka bedömningar vi gjorde. Det här är också utmynnat i en publikrapport så att så många som möjligt ska kunna ta del av de slutsatserna. Och för att svara på din fråga, vad har det konkret mynnat ut i så vet jag att både Region Halland och Sahlgrenska sjukhuset tycker att det här har hjälpt dem att komma vidare med både att utveckla den här tekniken som du har frågat om och man jobbar också vidare med nya forskningsfrågor utifrån insikter som man fick i det här arbetet som vi hade tillsammans.
Daniel Holmberg [00:07:26]: Intressant. Jakob, innan sommaren slutrapporterade Vinnova också ett regeringsuppdrag inom det här området. Vill du berätta lite om det?
Jakob Hellman [00:07:36]: Ja, men precis. Vinnova har haft två stycken uppdrag de senaste sju åren, kanske det blir nu, där regeringen har fått det här på radarn, att det är någonting här som behöver utvecklas i Sverige med myndigheters förmåga kring bland annat det Karin beskriver, även om det har varit väldigt olika karaktär på det som har funnits. Så vi har på olika sätt stöttat andra myndigheter i att våga testa nya arbetssätt inom de här områdena och möjliggöra det på olika sätt. I vissa fall så har det varit fråga om att finansiera en del av det här utvecklingsarbetet. Det har vi inte gjort gentemot IMY, men det har vi gjort i vissa andra fall. Exempelvis har vi jobbat tillsammans med länsstyrelserna uppe i norr. Det här med tillståndsprocesser har varit en lång dialog i Sverige. Det går för långsamt tycker många när det gäller tillstånd för olika typer av verksamheter som egentligen syftar till bättre miljö och klimat. Då har vi stöttat dem i ett utvecklingsarbete för att identifiera nya sätt att vrida och vända på det här. Inte de traditionella sätten utan testa nya sätt att få ner handläggningssiffrorna. Bara för att nämna ett exempel.
Daniel Holmberg [00:09:14]: Du skrev i en rapport nyligen att Sverige snart kan vara det enda land i Europa som inte har testat regulatoriska sandlådor, alltså verktyg för innovation som ger tidsbegränsade undantag från lagstiftning. Hur ligger Sverige till här egentligen och varför är det så här?
Jakob Hellman [00:09:32]: Vi är ganska vana vid att Sverige ligger alltid i topp på innovationsindex. Sverige är väldigt känt globalt sett när det gäller innovationsfrågor. Vi är väldigt väl ansedda där. En uppgift för oss på Vinnova är också att omvärldsspana och se vad som kommer globalt. Det vi har sett då är att den här typen av frågor har kommit allt mer på agendan i jättemånga länder. Både i vår närhet i Danmark och Norge och Storbritannien, men också globalt i USA, Kanada och Asien. Det handlar om att man har infört den här typen av undantag från lagstiftningen– det som Karin började med att prata om, som jag tycker var väldigt bra beskrivet, just hur tempot har ökat och man har sett det som viktiga åtgärder för allt handlar inte om teknikutveckling. Vinnova stöttar och finansierar forskning och innovationsprojekt, det är kärnan i det vi gör, men vi har sett att det inte räcker. Ofta när man gör nya saker så kanske det krockar med så som vi har satt upp regelverk och annat. Och de här sandlådorna till exempel, det har man infört i väldigt många länder. På det sättet sticker Sverige ut och det är lite ovanligt eftersom vi brukar vara så snabba på den här typen av frågor. Vi har noterat det och sett att det är lite avvikande från den globala utvecklingen.
Daniel Holmberg [00:11:08]: Så vi behöver steppa upp där lite. Vad säger du Karin?
Karin Lönnheden [00:11:12]: Nej, men det är väl viktigt att förtydliga till att börja med att den här fördjupade vägledningen som vi har jobbat med och jobbar med till innovatörer, det handlar ju inte om något undantag från befintligt regelverk utan det handlar ju om att vi hjälper innovatörer att bottna i hur ska det befintliga regelverket tolkas. Här är ju vi fjärde dataskyddsmyndighet ute i Europa och de andra dataskyddsmyndigheterna jobbar på samma sätt, att det handlar inte om undantag. Men arbetssättet kan ändå bidra till att snabba på och underlätta innovationsprocessen för att man får hjälp och tydlighet i hur ska vi tillämpa det befintliga regelverket. Jag tänkte också, apropå det regeringsuppdraget ni har haft på Vinnova, att en väldigt konkret sak som du hjälpte oss med, Jakob, det var ju att du i början där styrde upp ett första möte mellan oss och våra brittiska motsvarigheter som var en av de andra dataskyddsmyndigheter som redan var igång med det här. Det var ju ett sätt att hjälpa oss att få en puff och inspiration kring hur kan det gå till konkret.
Daniel Holmberg [00:12:22]: Men om man ändå ser att det behöver göras mer, var ligger de största hindren och vad kan göras för att snabba på det här arbetet?
Jakob Hellman [00:12:34]: Först vill jag säga att det viktigaste är så klart inte att det är x antal just sandlådor med undantag i lagstiftningen. Vi ser att där skulle Sverige behöva testa det här, men det som Karin beskriver, de här typerna av nya arbetssätt, det är ju en del av samma sak. Lagstiftningen ser olika ut i GDPR, det är europeisk lagstiftning och det är klart att det skiftar väldigt mycket vad som är möjligt att göra. Men det är en svår fråga, jag skulle säga att det handlar om saker som en stark kultur i förvaltningen som är organiserad och styrda. Vi är inte vana att göra på det här sättet. Det vi har sett också när vi jobbat med de här frågorna är att som det svenska systemet ser ut så har vi ju ganska mycket makt i våra självständiga myndigheter. Man har ganska – inte lagstiftning så klart, det är ju i riksdagen – men vi har föreskrifter och annat som myndigheter själva har mandat över att förändra. Det har varit mycket en bild av att vi måste ändra lagstiftning, måste göra faktiska regelförändringar, men det vi har sett i många fall så har det räckt att man förändrar arbetssätt på myndigheter och att man kan göra vissa justeringar hur man kanske tolkar eller hur man jobbar med föreskrifter och annat. Jag tror att kulturfråga är luddigt, men det finns ett motstånd mot att göra det här och jag tror att det är ovant och det som vi hade väldigt spännande och långa diskussioner om i början var ju också om det är möjligt att förena det här. För det viktigaste för er är ju att ha er trovärdighet som tillsynsmyndighet. Det är ju nummer ett. Om det riskerar att skada det förtroendet så går det ju inte. Går det att göra det här och behålla det? Det har det ju visat sig göra, om jag har förstått det rätt. Men den diskussionen har vi väldigt ofta med myndigheter. Går det ens att göra det här? Kan vi ha en tidig dialog eller kan vi bibehålla rättssäkerhet och allt sådant?
Karin Lönnheden [00:14:55]: Jag får ju den frågan jätteofta när jag är ute och pratar om det här arbetssättet. Vårt svar på den är ju att dels precis som du var inne på så var det viktigt för oss att inte fuska förbi den utan att verkligen göra en ordentlig rättsutredning så att vi kände att vi stod stadigt. Det vi har landat i är att vi ger ju aldrig några garantier att vi som tillsynsmyndighet inte kommer att göra tillsyn mot en specifik verksamhet eller ett specifikt projekt. Med det sagt så när vi går in i den här typen av vägledning så är det ju inte med intentionen att använda våra korrigerade befogenheter utan vi går in med intentionen att ge vägledning. Då har vi identifierat ett antal olika omständigheter som gör det enklare för oss att upprätthålla den här linjen och en sådan är ju att om man får den här typen av vägledning från oss, då ska det vara innovationer där personuppgiftsbehandlingen ännu inte är pågående. Det blir en viktig förutsättning för oss. Man ska ha en idé. Den behöver vara ganska konkret så att det ska vara tidigt, men inte för tidigt i innovationsprocessen. Man behöver ha kommit en ganska bra bit i vad det är man vill göra. Då kan vi komma in och ge vägledning kring olika rättsliga frågor och hur man kan se på dem.
Jakob Hellman [00:16:19]: En annan skillnad som vi har sett om man jämför internationellt– du nämnde Storbritannien till exempel. För många år sedan jobbade vi med Finansinspektionen, det var det första vi gjorde på det här området. Då var det väldigt tydligt att Svenska Finansinspektionen såg att de inte har ett uppdrag att stödja innovation. Det finns inte det uppdraget, till skillnad från brittiska finansinspektionen som har det också och värnar konsumentsäkerhet och allt annat. Jag tror att styrsignalerna kring om det här är ett uppdrag... och ni har ju fått ett regeringsuppdrag, ni har ju fått ett tydligt mandat från Regeringskansliet, och det har visat sig vara väldigt viktigt för många myndigheter att få grönt ljus. Att "det här är faktiskt ert uppdrag också." I takt med att de här frågorna har breddats– det är liksom inte bara Vinnova som håller på med det här utan det är jättemånga myndigheter som på olika sätt jobbar stödjande med innovationsfrågor i sin roll då. Det är så vi funkar. Vi behöver ha någon typ av styrsignal att det är okej. Ni ville ju ha det här i uppdraget. Ni jobbade för att få det också. Det går också att göra på det sättet.
Daniel Holmberg [00:17:47]: Apropå internationella exempel, finns det fler sådana? Jag vet att det har gjorts saker i Sydkorea, Japan och Singapore.
Jakob Hellman [00:17:54]: Ja, precis. Den kategorin som handlar om att göra avsteg och undantag av lagstiftningen, där har vi sett att det har varit väldigt avancerat arbete exempelvis i Sydkorea och Japan. Det är kanske länder som på vissa sätt är olika Sverige, men det är också länder som – framförallt Sydkorea – ligger väldigt högt på innovationsrankingen. Det är en innovationsnation man är väldigt aktiv i att skapa förutsättningar. Just Sydkorea, de, vad jag vet, har gått allra längst och där är det så att som innovatör, om man ger sig ut på okänd terräng och inte vet om det här är olagligt eller inte, om det står i strid, då anmäler man det in till en myndighet eller Regeringskansliet och inom 30 dagar måste man inkomma med ett svar från regeringskansliets sida. Om inte det svaret har kommit är det grönt ljus. Då är det fritt fram.
Daniel Holmberg [00:18:54]: Oj, det lät radikalt.
Karin Lönnheden [00:18:57]: Ja, man sätter pressen på sig själva, att "vi måste vara snabba", och sedan har man stora möjligheter att ge undantag i olika sandlådor och sådant. Det är ett väldigt avancerat system och jag säger inte att Sverige borde ta det, men jag tror att vi kan lära av det exempelvis. Och Japan har jobbat mycket med geografiska zoner, alltså att man har undantag just i en region. "Här är det okej att testa självkörande bilar, här just i den här regionen så lättar vi på regelverket för att testa." I Sverige har vi det här med drönare i Västervik, en zon där Transportstyrelsen har särskilda villkor för utveckling av drönartillämpningar.
Daniel Holmberg [00:19:52]: Ja, just det.
Karin Lönnheden [00:19:53]: Jag tänker på den här frågan som du börjar med, Jakob, i Sydkorea-exemplet, att det är en innovatör som är osäker på "det här som vi vill göra, är det lagligt eller inte?" Där tänker jag att vi ändå kan komma en ganska lång bit med den här typen av fördjupad vägledning kring det befintliga regelverket. Att hjälpa till att snabba upp tempot så att man får klarhet i vad medger regelverket redan idag. Det är många innovatörer som säger till oss att det egentligen kanske inte är för oss i dataskyddsfallet att det är regelverket som är det stora problemet, utan det stora problemet är osäkerheten kring hur vi ska tillämpa det. Det blir innovationshämmande. Och kan vi som tillsynsmyndighet hjälpa till att få bort den där osäkerheten så är det ett viktigt steg.
Jakob Hellman [00:20:42]: Och också som du har beskrivit för mig ett problem för er, att ni upplevde ofta att alla kommer för sent när det redan har gått för långt. För er är det också mer positivt att kunna guida tidigt.
Karin Lönnheden [00:20:55]: Verkligen.
Daniel Holmberg [00:20:56]: Och det för oss faktiskt in på ett ett exempel vi ska få höra om här. I Norge har regeringen tagit ett första steg till en så kallad regulatorisk sandlåda, eller sandkasse som de säger, genom ett uppdrag till Datatillsynet, som är motsvarigheten till den svenska integritetsskyddsmyndigheten. Anna-Maria Stawreberg har för vår räkning pratat med Erlend Andreas Gjære, vd för företaget Secure Practice, som tillsammans med Datatillsynet arbetat med att ta fram en personlig utbildning i datasäkerhet.
Anna-Maria Stawreberg [00:21:34]: Vad är det för känt som Secure Practice tillhandahåller?
Erlend Andreas Gjære [00:21:38]: Secure Practice hjälper folk med digital säkerhet i vardagen. Vi har ett fokus på människor och hjälper företag och verksamheter med kompetens, medvetenhet och säkerhetskultur. Det handlar om digitala verktyg som vi lägger till i en softwareprodukt till företagsmarknaden.
Anna-Maria Stawreberg [00:21:58]: Hur påverkas er tjänst av de regler som finns kring integritetsfrågor?
Erlend Andreas Gjære [00:22:04]: Secure Practice använder personupplysningar till att anpassa upplärning så att den passar till mottagaren. Bättre kommunikation genom bättre personalisering. Detta är en innovativ del jämfört med dagens lösningar där man ofta har en one-size-fits-all approach till träningen i företag. Men cybersäkerhet kräver att vi är lite mer dynamiskt anpassade till målgruppen vår. Särskilt för att detta är tema som folk inte jobbar med primärt dagligen så det kräver lite mer personalisering.
Anna-Maria Stawreberg [00:22:41]: Kan du berätta mer om vad ni gjorde i den här regulatoriska sandlådan?
Erlend Andreas Gjære [00:22:45]: Secure Practice och Datatillsynet i Norge har samarbetat om att värdera juridiska spörsmål, tillknutet behandling av personupplysningar på arbetsplatsen, med [?? 00:23:02] bättre och mer effektivt upplägg, men också bättre cybersäkerhet. Personalisering kommer ofta som en konsekvens av profilering, i varje fall när vi snackar om artificiell intelligens som vi använder för att personalisera och tillpassa vår kommunikation mot slutanvändare. När vi gör en juridisk värdering så har vi också gjort fokusgruppintervjuer för att förstå användarna. Som en del av vanlig produktutveckling, men också med [?? 00:23:33] på personen. Känner folk sig övervakade på arbetsplatsen, till exempel, genom användning av ett sådant system och vilket tilltag kan vi göra för att begränsa den upplevelsen och inte minst tekniskt, så att det faktiskt inte är övervakning, utan faktiskt är en personvänlig lösning som rätt och lätt bara ger en bättre användarupplevelse för alla.
Anna-Maria Stawreberg [00:23:56]: Och vilka är de viktigaste resultaten ni har fått fram?
Erlend Andreas Gjære [00:24:00]: Datatillsynet har publicerat en offentlig rapport från vårt projekt med de frågor och aktiviteter och svar vi fann i projektet. Det visar vilka gråzoner man berör på arbetsplatsen i förhållande till behandling av personupplysningar om anställda och sätter det i sammanhang med vårt behov som startup för innovation. Man kan läsa rapporten både som personskyddsexpert eller säkerhetsansvarig men också som innovatör och produktutvecklare och se vilka faktiska frågor man måste ställa sig för att utveckla en innovativ och samtidigt laglig produkt som marknaden kan köpa på ett tryggt sätt.
Anna-Maria Stawreberg [00:24:50]: Vilken betydelse har resultaten för att ni skulle få fram den här nya produkten?
Erlend Andreas Gjære [00:24:55]: Inte minst våra kunder har fått regulatorisk trygghet för att kunna använda en produkt som vårt i sin verksamhet. Detta är inte bara något som juridiker kunde ge oss. För det första hade det kostat oss mycket att ha använt juridiker, men samtidigt har Datatillsynet själv sett, värderat och publicerat offentliga resultat. Det visar också våra kunder faktisk transparens i hur data behandlas och det ger oss också ansvar i ännu större grad. Vi ställer oss lite öppna för världen att vi har gjort sådana aktiviteter och gjort sådana val som vi har gjort. Det kan vi hållas ansvariga för genom att vara lika offentliga. Men det är klart att då är vi i en position som en unik leverantör, i konkurrens med många andra, där detta inte är tema och där personuppgifter kan vara ett rejält bekymmer
Anna-Maria Stawreberg [00:26:12]: Vilka tips har du till andra som vill testa regulatorisk sandlåda?
Erlend Andreas Gjære [00:26:16]: Om det gäller personvärden så är det i alla fall viktigt att ställa svåra frågor och tillägga att man måste svara på svåra frågor. För om man klarar att besvara dessa, juridiskt men också tekniskt och i förhållande till användare och slutanvändare och de uppfattningar folk har, då är man ju i en god position för att ha gjort en innovation. Något som är nytt, som ingen annan har gjort. En sandlåda ska användas till att göra saker som är lite gråzon och nytt. Och där är vi först. Så det att vara ärlig och [?? 00:26:55] de svåra frågorna kan ge en stor vinst. Men det är också en liten risk för att du kan få besked om att det inte är möjligt, att det inte blir lovligt. Det är ju alltid en möjlighet man måste vara öppen för när man ska gå in i en sådan sandlåda
Daniel Holmberg [00:27:22]: Erland pratade här bland annat om regulatorisk trygghet som man upplevde som viktigt både för företaget och deras kunder. Vilka tankar får ni när ni lyssnar på Erland? Vad säger du Karin?
Karin Lönnheden [00:27:36]: Det här är ju Datatillsynet, alltså vår norska motsvarighet. Arbetsmetoden är ju precis densamma som vi driver nu och jag tycker att det här regulatorisk trygghet som han använder som begrepp, det är ju precis det det handlar om. Att minska osäkerheten pratade vi om innan, att känna att vi har gått igenom de rättsliga frågorna som vi behöver ta ställning till och vi vet var vi står. Jag tycker att han sätter fingret på två viktiga saker här. Det första handlar ju om att våga gå in i de svåra rättsliga frågorna. Det tänker jag faktiskt är en framgångsfaktor i väldigt många innovationsprocesser; dataskyddsfrågorna kommer inte att vara lätta och det tror jag nästan att man måste räkna med. Därför att det är så många områden, framför allt när det gäller innovation och ny teknik, där det fortfarande inte finns praxis, men att ändå kavla upp, att jobba interdisciplinärt, tvärfunktionellt och ta sig an de här svåra frågorna, att göra det ändå. Det är en framgångsfaktor. Sedan tänker jag att han också lyfter fram någonting som är viktigt, att det kan ju faktiskt vara att den här typen av fördjupad vägledning resulterar i att det här som vi hade tänkt göra, det är faktiskt inte förenligt med befintlig lagstiftning. Då gäller det att komma ihåg det många innovatörer säger till oss, att det kan kännas deppigt i stunden, men det gör ju åtminstone att vi inte behöver lägga mer tid på just den här lösningen, med just den här konstruktionen. Ur det perspektivet kan det också vara innovationsfrämjande att man inte lägger ner mer tid och pengar på någonting som inte håller rättsligt.
Daniel Holmberg [00:29:22]: Eller så kanske det kan ge en impuls till att lagstiftningen behöver förändras. Kan det vara så också?
Karin Lönnheden [00:29:25]: Ja, så kan det vara, men på dataskyddsområdet så är det huvudsakliga regelverket EU-rätt. Det kommer inte att gå snabbt att förändra det. Jag tror att vill man hålla tempo till innovationen så handlar det snarare om att söka andra möjligheter. Sedan är det klart att vi ser framför oss att det skulle kunna komma omständigheter när vi jobbar på det här sättet där vi ser att här behöver vi uppmärksamma lagstiftaren på att det kanske behövs en förändring eller justering i nationell rätt, som kompletterar GDPR. Ser vi sådana frågor kommer vi så klart att uppmärksamma lagstiftaren, men som vi var inne på tidigare så är ju lagstiftningen är i huvudsak EU-rätt. De kvarnarna maler långsamt och det är också som det ska vara.
Daniel Holmberg [00:30:16]: Jacob, har du några reflektioner?
Jakob Hellman [00:30:17]: Jag vill knyta an till frågan om att innovatörer får information om att det inte är en framkomlig väg och att det är en samhällsekonomiskt vinst. Vi pratar ofta om att en av tio av de här innovationsprojekten ska lyckas, vi vill ju gärna framhålla de här som verkligen lyckas och syns och så, men det är osäkerhet och det är en del av det att inte allt lyckas komma fram och på det sättet kan det här också vara effektivt. Den infon kommer. Sedan är det ju klart att det kan handla om att förändra regelverk. I vissa fall är det möjligt att göra. Men den där gråzonen. Jag tror att det– för det återkommer ofta. När det är ny teknik och det är konstig intelligens, AI säger vi i Sverige, men det– vi vet alla hur snabbt det går, tror jag numer, eller vi känner det på ett annat sätt nu, medborgare och så där. Men det blir mycket gråzoner. Det går inte att förutse i lagstiftning och när man sätter regelverk exakt hur den tekniska utvecklingen ska se ut, det vet vi från den här AI-förordningen som EU har jobbat på länge, att det är inte helt lätt att sätta ner exakt vad som ska vara tillåtet.
Daniel Holmberg [00:31:40]: Jag tänkte just komma över på det. Du nämnde EU-förordning för AI. Det finns också en annan ny förordning som kallas för Netto Noll Industry Act där man tar upp regulatoriska sandlådor som centrala instrument, alltså då att kunna göra undantag från regler och så där. Vilken betydelse har det här?
Jakob Hellman [00:32:02]: AI-förordningen kanske du kan säga något om Karin?
Karin Lönnheden [00:32:07]: Absolut. Den är inte färdigförhandlad än, men det finns konkreta skrivningar om regulatoriska sandlådor. Som det ser ut som att man kommer att göra, vi får se var förhandlingarna slutar, är ju att skapa en särskild reglering som möjliggör att personuppgifter används på ett lite annat sätt än vad som är tillåtet i grunden. Vi har varit inne på flera gånger utmaningen med att det är EU-rätt som styr personuppgiftsbehandling. Det är ju en jättefördel att man tar sig an den här typen av arbetssätt i EU-rätten. Det ser ju vi otroligt positivt på och då känns det bra att vi och flera andra europeiska myndigheter ändå har provat det här sättet att ge vägledning i dialogform. Jag tänker att vi är förhoppningsvis väl uppvärmda. Vi följer så klart förhandlingarna jättenära. Det är inte säkert att den formen av sandlådor som kommer i AI-förordningen är exakt copy-paste på det arbetssättet som vi har nu eller så, utan det kan bli så att det landar på ett lite annat ställe. Men det är otroligt positivt att det finns med. Om jag bara får säga en sak till där så tror jag att det har framkommit att jag och vi och Jakob också, vi ser otroliga fördelar med det här arbetssättet, men det är farligt att tänka att det är någon silver bullet. Det är inte så att om vi jobbar på det här sättet så har vi främjat innovation. Då är vi klara. Man måste så klart göra en massa andra saker också. Regulatoriska sandlådor eller testverksamhet och fördjupad vägledning. Det är ett bra arbetssätt och det kan bidra, men det är inte hela lösningen. Det tycker jag är viktigt att komma ihåg.
Jakob Hellman [00:34:03]: Jag håller med. Det är viktigt med nyansering kring det. Från EU-hållet har vi sett att dels handlar det om att EU sätter den här typen av frågor högt på agendan, sådana här Netto Noll Acts som du pratar om som har kommit nu, där man trycker på det och även andra typer av stora program som EU vill göra. Där sätter man ljuset på det här med regulatorisk testverksamhet som en nyckel för att komma längre. Men det är också det här med att få rätt nivåer på de här typerna av verksamheter. Om det är EU-lagstiftning, då kan man bara göra vissa saker på nationell nivå. Nu vet jag att EU startade en regulatorisk sandlåda inom blockchain-området här i år och att man tittar mer övergripande på europeisk nivå. Det behövs också, förutom nationella initiativ.
Daniel Holmberg [00:35:03]: En annan sak jag har tänkt lite på är att under pandemin skedde en väldigt snabb omställning i många delar av samhället och nu har vi ett krig i vårt närområde som gjort att säkerhet och försvar hamnat högre på dagordningen. Vilken betydelse ser ni att kriser och nya utmaningar kan ha när det gäller regelutvecklingen för att främja innovation?
Jakob Hellman [00:35:28]: Jag kan börja. Det är ju verkligen så, att kriser kan vara innovationsdrivande, inte minst inom offentlig sektor. Jag kommer ihåg att jag pratade med personen på Socialstyrelsen som beskrev vad den hastighet som det under pandemin tog från att en idé kom upp till att det faktiskt var genomfört. Man hade aldrig sett något liknande. Man kapade enorma mängder tid mot vad det brukar vara. Och det ska så klart vara rättssäkert också, men det upplevde man att det var, men hur hastigheten att komma till beslut och modet att våga fatta beslut, där har ju de här kriserna verkligen varit innovationsdrivande.
Karin Lönnheden [00:36:15]: Jag håller verkligen med. Det finns nästan ingenting som driver innovation lika mycket som kris och krig, tyvärr, men den risken som kan finnas, det är ju att när man enas kring ett så oerhört angeläget ändamål och det finns den här verkliga bråttomfaktorn, då finns det ju en risk att vi är lite mer benägna än annars att sälja ut våra principer som vi annars håller hårt i. Till exempel när det gäller mänskliga rättigheter. Både under pandemin och kopplat till kriget så ser vi ju att det finns en risk att vi väljer att införa lösningar som handlar om ökad övervakning på olika sätt. När vi naggar på integritetsskyddet så vet vi att det finns alltid en risk att de där lösningarna försvinner inte efter att krisen eller kriget är över. Vi vet också att det finns en risk att man väljer att på sikt använda tekniken för andra ändamål, det vi brukar prata om som ändamålsglidning. Och lösningen är så klart inte att sätta broms på innovationen utan jag tänker att det blir viktigare än någonsin egentligen när vi står mitt i en kris eller ett krig att vara noggranna med att säkra upp de principer, de grundläggande fyra rättigheter som vi håller hårt i annars. Och för oss som myndighet så betyder det så klart att säkra upp ett starkt och robust integritetsskydd i tekniska lösningar även när vi jobbar mot ett krig eller med en pandemi. Och det tycker jag att det finns många goda exempel på i Sverige. Men det finns exempel från andra länder där man kanske sålde ut en stor del av integritetsskyddet, inte minst under pandemin.
Jakob Hellman [00:38:11]: Jag kan känna att vi på Vinnova, vi är ju teknikoptimister, vi ser positivt på teknisk utveckling generellt, men det är extremt viktigt att nyansera möjligheten och riskerna med ny teknik. Vi pratar nu mer om etik kopplat till AI, exempelvis etisk AI, och att integrera de där frågorna och jobba med dem tillsammans istället för att det blir ett gäng som vill utveckla teknik och driva på utvecklingen och några som trampar på bromsen så tror jag man behöver göra det ihop och ha respekt för att det är väldigt svåra frågor, kopplade till etik som vi kanske inte har svaret på heller.
Daniel Holmberg [00:38:57]: Det är intressanta perspektiv ni lyfter där. Vi har pratat mycket om integritetsskydd och så är. Finns det andra områden där det är extra viktigt att jobba med möjligheten till regelutveckling och testa och så?
Jakob Hellman [00:39:17]: Jag skulle säga att det ena handlar om där det finns väldigt snabb utvecklingstakt. Hela fältet började ju inom finanssektorn, Fintech, där man såg att det kom en flod av startups, inte minst i Sverige och Stockholm, som gick så extremt snabbt med den utvecklingstakten de hade på nya finansiella tjänster och innovationer, och det ser vi också i andra sektorer, inom hälsoområdet till exempel, eller inom transport och mobilitet, att det går undan. Men den andra delen som man får titta på, där det är också snårigt med regelverken, och det... Exemplet du lyfte handlade ju om sjukvården. Jag har också jobbat i landstinget Stockholm, eller Region Stockholm, och där är den här kombon väldigt tydlig. Det är snabb utvecklingstakt, det är många entreprenörer och innovatörer inne, det är väldigt mycket regelverk att ta hänsyn till. Dataskydd så klart, men mycket annat också. Jag skulle säga att det är en sådan sektor som skulle behöva utvecklas och komma längre och skulle ha mycket hjälp av att anamma mer av de här arbetssätten tror jag.
Karin Lönnheden [00:40:39]: Vi tittar på hur vi kan skala upp det här arbetssättet. Jag tror och hoppas att nästa steg som jag tror att vi är redo att ta inom några år är att också prova på att ge den här typen av fördjupad vägledning där vi kanske går in tillsammans med en annan tillsynsmyndighet. Att vi kan titta utifrån integritetsskyddsperspektivet och ge vägledning kring det regelverket och en annan tillsynsmyndighet kan ge vägledning kopplat till sitt regelverk. För det är ju så det ser ut. Så ser verkligheten ut för innovatörer. Det är ju inte så att man bara sitter med GDPR och de utmaningarna utan det är ju alltid en flora av regleringar som man ska försöka navigera i. Jag ser framför mig att det är ett sätt som vi kan skala upp det här och förbättra nyttan av det ytterligare. Men jag tror att det kommer att ta lite tid innan vi är redo för det steget. Men jag tror att vi kommer dit.
Daniel Holmberg [00:41:36]: Ser ni att det behöver göras något på nationell politisk nivå för att underlätta myndigheternas och offentliga verksamhets möjligheter att jobba med de här frågorna?
Jakob Hellman [00:41:46]: Jag vill bara hålla med om det du säger med att jobba tillsammans med myndigheter emellan. Det är också något vi får höra väldigt mycket med enskilda innovatörer, att det är väldigt svårt att navigera i den svenska myndighetsforan. Vem vänder man sig till med vilken fråga och så. Många innovationer hamnar mitt emellan våra traditionella ansvarsområden. I de här Sydkorea-exemplen, då ligger ansvaret på det offentliga att guida rätt och det är också någonting som är viktigt. Jag tror att våra möjligheter som myndigheter att jobba tätare ihop och ta ansvar för det som hamnar i mellanrummen, det kanske inte riktigt svarar på din fråga, men jag tror att det är en viktig komponent att ha med sig. Det är något vi behöver komma åt. Vi har också sett i vissa typer av projekt som vi har stöttat och jobbat med, att man har jobbat tillsammans mellan myndigheter för att det krävs helt enkelt. Så det tror jag är en väg framåt.
Karin Lönnheden [00:42:48]: Jag tror att det finns massor som kan och behöver göras på politisk nivå för att fortsätta främja de här arbetssätten. Jakob, du var inne på att ibland kanske det är ett tydligt uppdrag som behövs. I andra fall så kan det handla om finansiering. Att det är det som behövs för att skapa förutsättningar. Jag tror också att det är en viktig signaleffekt att prata om och uppmärksamma och intressera sig för den här typen av nya arbetssätt och innovativa arbetssätt i offentlig förvaltning. Det upplever jag att det finns många som gör. Att ytterligare sätta ljus på det, det bidrar såklart. Sen är det ju så att alla vi myndigheter – för vi är ju ändå några stycken som provar olika former av regulatorisk testverksamhet nu – att vi också har en viktig roll i att sprida det vi gör. Vi får ju jättemycket frågor från andra myndigheter som vill att vi ska komma och berätta, det gör vi så klart gärna. Vi försöker också gadda ihop oss med andra som testar och labbar nya arbetssätt så att vi tillsammans kan lära ytterligare av varandra och hjälpas åt att skala upp det.
Jakob Hellman [00:43:58]: Jag skulle vilja lyfta bara en lite mjukare fråga som handlar om ledarskap i organisationer, där jag också blivit extremt imponerad av sättet ni har jobbat på i IMY. Det är viktigt att generaldirektör, att högsta ledningen tryggar sina medarbetare med att säga att det här kommer gå bra, vi ska göra detta, vi behöver göra det här. Det finns många spärrar och rädslor för många är oroliga att göra fel. Det är liksom så vi är drillade i offentlig förvaltning och det finns mycket bra med det för vi ska vara försiktiga, men det kan också bli att det sätter spärrar, att rädslan tar över och då är det ett modigt ledarskap från organisationer och från myndighetsledningar. Det är extremt viktigt och det har IMY lyckats med otroligt fint.
Daniel Holmberg [00:45:01]: Du sa ju att det kanske tar några år, Karin, med alla de här samarbetena, men om ni ska blicka in i framtiden lite, när tror ni att det har blivit etablerat för myndigheter och offentlig verksamhet att arbeta med den här typen av försök och experiment för att utveckla regler som främjar innovation? Det var en väldigt generell fråga.
Jakob Hellman [00:45:20]: Vi har lärt oss att det är svårt att sia i framtiden. Jag trodde att utvecklingen skulle gå snabbare om jag ska vara helt ärlig. Vi har jobbat ett antal år och det kändes som att proppen höll på att gå ur. Det tar tid. Det händer supermycket spännande och det ska vi verkligen sätta ljuset på. Det är jättemånga myndigheter som, precis som IMY, går före och vågar testa, men jag tycker att det går trögt. Det är några år framåt i tiden innan det har satt sig och etablerats. Det tror jag, tyvärr. Det behövs fler som gör det.
Daniel Holmberg [00:46:03]: Vad tror du, Karin?
Karin Lönnheden [00:46:04]: Jag tror också att det kommer ta lite tid, men jag tycker ändå att vi har varit inne på här idag flera olika främjande faktorer. Både att det kommer EU-regelverk som uppmuntrar och skapar förutsättningar för den här typen av arbetssätt, och också att vi faktiskt är ett antal myndigheter som på olika sätt provar oss fram. Jag tänker att vi alla får hjälpas åt att försöka skala upp det och verkligen att vi som myndigheter såklart har en viktig roll i att samverka, fokusera på samhällsnytta, hela tiden ha fokus på hur sprider vi det här.
Daniel Holmberg [00:46:43]: Ja, och är det något mer ni vill ta upp som ni känner att ni inte har fått sagt? Har ni en chans nu?
Jakob Hellman [00:46:49]: Nej, jag skulle bara slå ett slag för att spana internationellt. Karin lyfter det, hur värdefullt det var att prata med den brittiska motsvarigheten. Det händer väldigt mycket, som jag har tjatat om, men det rör på oss på det här området, verkligen, inte minst i vårt närområde. Träffa dem, lyssna på hur de har jobbat, våga ta inspiration av andra som har gått före. Det skulle jag vilja slå ett slag för.
Karin Lönnheden [00:47:17]: Det kan jag verkligen hålla med om. Vi har nu ett etablerat samverkansforum tillsammans med skyddsmyndigheterna i Norge, Storbritannien och Frankrike. Det är vi fyra som har igång med det här arbetssättet och det är ju jättevärdefullt att vi kontinuerligt utbyter erfarenheter för vi lär oss ju också hela tiden hur det här arbetssättet funkar och do's and don't's. Det enda jag känner att vi kanske inte har pratat om, eller att jag inte har pratat om det så mycket, det är ju hur mycket vi som tillsynsmyndighet också lär oss av det här arbetssättet. Det är ju faktiskt en jätteviktig poäng att innovatörer som får vägledning beskriver ju nytta för dem. Andra som kan läsa de här publika rapporterna beskriver ju att "ja, men vad bra, då vet vi det", men det är ju också så att vi utvecklar vår egen kompetens och förståelse i en takt som vi har svårt att göra på något annat sätt. Det är ett perspektiv som är kanske minst lika viktigt faktiskt.
Daniel Holmberg [00:48:15]: Det var ett bra medskick som avslutning här. Med det har det blivit dags att runda av. Stort tack för att ni var med.
Jakob Hellman [00:48:24]: Tack så mycket.
Karin Lönnheden [00:48:24]: Kul att vara här.
Daniel Holmberg [00:48:27]: Ja, och det här avsnittet av podden På spaning innovation har handlat om hur nya arbetssätt för utveckling av regelverk och styrmedel kan släppa loss innovationskraften. Hör gärna av er till oss med era reflektioner till podcast@vinnova.se. Tack för att ni har lyssnat.